Zwei- oder Mehr-Faktor-Authentifizierung für mehr Sicherheit

Zwei- oder Mehr-Faktor-Authentifizierung für mehr Sicherheit

In der heutigen Zeit ist es keine Neuheit, wenn Bekannte oder Kollegen von geknackten Logins berichten, oftmals Zugängen mit heiklen Daten (z. B. hinterlegte Zahlungsdaten).

Eine sicherere Methode für den digitalen Identitätsnachweis stellt hier die Zwei- bzw. Mehr-Faktor-Authentifizierung dar, z. B. mittels Benutzer-Login, Fingerabdruck, USB-Stick, TAN-Code etc. Einfach gesagt geht es dabei um die Zugangskontrolle durch mehrere voneinander getrennte Faktoren (Merkmale aus „Wissen“, „Haben“ und „Sein“), die kombiniert werden, um unautorisierte Zugriffe auf sensible Daten zu verhindern.

Das ist beispielsweise bei der Anmeldung zum Online-Banking via Login mit anschließender Zusendung eines Tokens (TAN-Code) auf ein definiertes Endgerät – z. B. mein Smartphone – der Fall. Um an die Daten in meinem Konto zu kommen, müsste der Cyberkriminelle nicht nur über meinen Benutzernamen inkl. Passwort verfügen, auch mein Smartphone müsste in seinem Besitz sein.

Bei der Zusendung von Passwörtern als Token (z. B. TAN-Code) werden für gewöhnlich OTPs (One Time Passcodes) verwendet, die an die ursprüngliche Session gebunden sind. So kann der Angreifer durch Aufbau einer parallelen Session mit diesem OTP nichts anfangen. In Österreich sind z. B. Handysignatur oder Bürgerkarte eine Lösung, bei der die Behörden dies umsetzen.

Usability vs. Security

Dennoch sind auch die Usability und die damit verbundene Kompatibilität wichtige Kriterien für den Einsatz von Zwei- oder Mehr-Faktor-Authentifizierung, da der Endbenutzer bei der Umsetzung dieser Sicherheitsniveaus stärker gefordert wird. Somit besteht eine Gratwanderung zwischen Sicherheit und Betrieblichkeit der Lösung.

Zunächst ein Blick auf die Faktoren, welche wie folgt unterschieden werden:

  • Faktor „Wissen“: Wissen des Benutzers (Passwort, Sicherheitsfrage, PIN-Code)

  • Faktor „Haben“: Besitz des Benutzers (USB-Stick, Token, Bankkarte, Smartphone)

  • Faktor „Sein“: Biometrisches Merkmale bzw. Anwenderverhalten des Benutzers (Fingerabdruck, Gesichtsscan, Augenscan, Stimme)

Bei Zwei- bzw. Mehr-Faktor-Verfahren, die auf physischen Tokens basieren (z. B. USB-Stick, Zugangskarte, Kreditkarte etc.), kommt es zu einmaligen Anschaffungskosten, die bei Verlust auch mehrfach anfallen könnten. Im Unternehmensbereich kein zu unterschätzendes Detail.

Der bei Verlust von Tokens administrative Aufwand für die Einrichtung temporärer Zugänge kann mitunter sehr arbeitsintensiv werden. Zusätzlich kommt die Gefahr hinzu, dass solche Zugänge „vergessen“ werden können und ein Sicherheitsleck entstehen kann. Daher ist auch für dieses Szenario eine Vorstellung zu entwickeln, nachher kann man nur mehr „reagieren“.

Adaptive Verfahren

Um Anmeldevorgänge zu verkürzen und die Nerven der Benutzer nicht überzustrapazieren, werden oft adaptive Authentifizierungsverfahren je nach identifiziertem Risiko angewandt. Steigt das Risiko, steigt auch die Anforderung an die Authentifizierungsmaßnahme. Die Idee dahinter ist, bei Bedarf nach höheren Sicherheitsanforderungen (z. B. Zugriff von extern, andere Länderkennung oder Geolocation) zusätzliche „adaptive“ Hürden in Form einer Step-up-Authentication zu stellen.

Aus Sicht der IT-Security stellt das intern immer ein Downsizing der Sicherheitsmaßnahmen dar, zu Deutsch: Das Sicherheitsniveau sinkt z. B. im internen Netzwerk, da Hostname und MAC-Adresse (Netzwerkkennung am Endgerät) bereits als Faktor „Sein“ genutzt werden. Hier reichen dann die Login-Daten (Benutzername und Passwort), um Zugriff zu erhalten.

Auch das Anwenderverhalten kann als weicher Faktor in einem Firmennetzwerk verwendet werden, dieser Faktor sollte jedoch niemals an externe Provider oder für externe Zugängen genutzt werden.

Hier wird ersichtlich, wie wichtig der richtige Mix an Anmeldefaktoren ist, denn heutzutage lassen sich IP-Adressen oder Geolocation mit einfachen Tools verschleiern. Anleitungen auch für nicht erfahrene Benutzer (z. B. für das Streamen von im eigenen Land zensurierten oder lizenzierten Inhalten wie Musikvideos oder Sportübertragungen) findet man online zuhauf.

Auch ist es wichtig, die Benutzer mit Informationen zu füttern, denn der/die Mitarbeiter/in ist es normalerweise gewohnt, in einer „Trusted Zone“ zu arbeiten (z. B. mit Single Sign-on). Kommt es zu einem externen Zugriff, kann die plötzliche Abfrage weiterer Anmeldefaktoren verunsichern, das führt dann zum Anruf beim Helpdesk oder gar zum Abbruch der Arbeit.

Neue Lösungsansätze

Andere Lösungen gehen neue Wege, um die Zwei- oder Mehr-Faktor-Authentifizierung ohne zusätzliche Tätigkeit des Benutzers zu realisieren.

NFC (Near Field Communication), eine Sender-Empfänger-Technologie, die oftmals als Zahlungsmöglichkeit genutzt wird (Bankomatkarte wird nur an das Terminal gehalten), kann z. B. als einzigartiges Gerät/Token fungieren, welches das Abtippen des OTPs obsolet macht.

Weiters kommen mehr und mehr biometrische Features (Fingerabdruck, Gesichtsscan etc.) auf Mobile Devices wie Smartphones und Tablets zum Einsatz, die als zusätzliche Maßnahme fungieren können.

Auch kann man mobile Geräte via Pairing innerhalb sicherer Piconetze (Mini-Funkzellen – Personal Area Network für Bluetooth-Endgeräte) als Faktor „Haben“ für die ordentliche Mehrfachauthentifizierung nutzen.

Moderne Lösungen wie U2F (Universal 2 Factor) oder SecurAccess kombinieren diese Technologien und bieten noch weitere Möglichkeiten wie SMS, E-Mail, Soft-Token-App, Foto-TANs via QR, Voice Callback etc.

Zusätzlich bietet sich ein Self-Service-Portal für den Benutzer an, bei dem das verfügbare Verfahren selbst gewählt werden kann (muss vom Unternehmen als sichere Maßnahme definiert und freigegeben werden).

Gerade bei adaptiven Methoden kann man mit diesen Maßnahmen dem Downsizing der IT-Security im internen/vertraulichen Netz entgegenwirken.

Authentifizierungsverfahren unbedingt in Erwägung ziehen

An dieser Stelle muss der IT-Admin einmal durchschnaufen. So viele Möglichkeiten der sicheren Authentifizierung, aber auch deren Unterwanderung? Nichtsdestotrotz ist der Schutz vor Angriffen unbestritten und sollte unbedingt in Erwägung gezogen werden!

Hier muss man wieder auf die richtige Strategie pochen, den Mix an Maßnahmen richtig wählen und im Bedarfsfall anpassen. Laufende Audits und Strategiemeetings sind unerlässlich, führen jedoch zu mehr Sicherheit und können dank moderner Technologien auch umgesetzt werden.

Neugier für neue Lösungen und Strategien zu deren Umsetzung sind im Hinblick auf IT-Security sehr willkommen!

Wir lieben Sicherheit!

Und wir unterstützten Sie gerne bei Fragen rund um IT-Security in Ihrem Unternehmen. Sprechen Sie einfach ganz unverbindlich mit uns! Wir freuen uns auf Ihre Kontaktaufnahme.

zum kostenlosen Beratungsgespräch
2018-03-20T00:44:01+00:00 16.03.2018|IT-Security|

Über den Autor:

Philipp Schild
Philipp Schild ist begeisterter Rennrad-Fahrer und seit 2013 bei GEKKO. Als Sales-Mitarbeiter erstellt er individuelle Angebote, die typischer Weise aktuelle Hardware, passende Softwarelizenzen und Dienstleistungen unserer IT-Techniker umfassen. In diesem Video erzählt er von den abwechslungsreichen Tagen bei GEKKO und was ihm daran am besten gefällt.

Hinterlassen Sie einen Kommentar